Информационно-техническая безопасность

ИНФОРМАЦИОННО-ТЕХНИЧЕСКАЯ

БЕЗОПАСНОСТЬ

Основные понятия в области информационно-технической безопасности

Составляющие информационно-технической безопасности

Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, «соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации» [70] (рис. 2.1).

Составляющие информационной безопасности

Рис. 2.1. Составляющие информационной безопасности

Согласно ГОСТ Р ИСО/МЭК 27002-2012. «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом, что важно для среды бизнеса, где наблюдается все возрастающая взаимосвязь. Как результат такой все возрастающей взаимосвязи, информация в настоящее время подвергается растущему числу и более широкому спектру угроз и уязвимостей по обеспечению безопасности информационных систем и сетей.

Конфиденциальность — доступ к информации только авторизованных пользователей.

Целостность — достоверность и полнота информации и методов ее обработки.

Доступность — доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Доступность — это возможность за приемлемое время получить требуемую информационную услугу [33].

Доступность информации — свойство системы, в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия [31].

Информационные системы разрабатываются для того, чтобы предоставлять информационные услуги пользователям. Эффективность информационной системы зависит от ее способности обеспечивать информационную потребность пользователя за приемлемое время и в полном объеме. Например, разработан личный кабинет на сайте жилищно-коммунального хозяйства, жителям предлагается отслеживать свои платежи и показания счетчиков, однако информация по начислениям и оплатам на сайте не соответствует информации в платежках, которые получают жители — в данном случае доступность информации не обеспечена.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения [33].

Целостность информации — ее существование в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию) [31].

Целостность делится на статическую — неизменность информационного объекта; и динамическую — корректное выполнение транзакций. Транзакция — единичная операция по обработке или передаче данных между системами, и системой и пользователем (рис. 2.2).

Виды целостности

Рис. 2.2. Виды целостности

Целостность отражает потребность пользователя в полноте и непротиворечивости информации, особенно когда она является «инструкцией к действию»: нормативные документы, рецептура лекарств, ход технологического процесса и т. д. Например, в начале 2000-х гг. работникам бюджетной сферы стали переводить заработную плату на пластиковую карту, снять деньги с которой можно было только в нескольких банкоматах города. В день зарплаты к этим банкоматам выстраивались длинные очереди, карточки вставляли одну за другой, в итоге, при выполнении одной из транзакций банкомат завис. По результату: списание денег со счета клиента произошло, однако выдача наличных произведена не была, так как команда о выдаче средств в банкомат не поступила — динамическая целостность была нарушена.

Конфиденциальность — это защита от несанкционированного доступа к информации [33].

Конфиденциальность информации — субъективно определяемая характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью информационной системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней [31].

Конфиденциальность информации подразумевает защиту от любого доступа, неразрешенного владельцем таковой информации. Например, в сериале «Моя прекрасная няня» главная героиня няня Вика считает информацию о своем возрасте конфиденциальной, закрывая ее от всех, даже с нарушением законов, что, конечно же, является недопустимым, но прекрасно иллюстрирует понимание конфиденциальности со стороны владельца.

Классификация информации по степеням конфиденциальности

По характеру сохраняемой тайны информация подразделяется на государственную тайну и конфиденциальную информацию (рис. 2.3).

Современные западные стандарты (например, ISO 17799) используют следующую классификацию [70]:

  • — открытая информация;
  • — конфиденциальная информация;
  • — строго конфиденциальная информация.

В Российской Федерации действует следующее деление информации:

  • — открытая информация;
  • — для внутреннего использования;
  • — конфиденциальная информация.
Классификация информации по характеру сохраняемой тайны

Рис. 2.3. Классификация информации по характеру сохраняемой тайны

При этом, как отмечает Д. Костров, право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю [70].

К открытой информации относится:

  • — информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);
  • — информация, полученная из внешних открытых источников;
  • — информация, находящаяся на внешнем веб-сайте компании.

Открытой информации важно соблюдение принципов целостности и доступности.

Многие руководители не считают проблему защиты открытой информации значимой для компании, однако ее искажение может нанести организации и репутационный, и финансовый вред. Например, в конце 2017 г. был взломан и изменен сайт одной из организаций. Для случайного пользователя страница выглядела как простая шалость, да еще и с музыкальным сопровождением, однако на самом деле взлом страницы был только верхушкой айсберга — внутренняя система сайта, а также связанные с ним системы оказались также взломаны, а сами хакеры принадлежали одной из террористических групп.

К информации для внутреннего использования относится любая информация, которая используется сотрудниками подразделений:

— циркулирует между подразделениями и необходима для нормального их функционирования;

  • — является результатом работ с информацией из открытых источников;
  • — не относится к информации конфиденциального характера;
  • — не относится к открытой информации.

Для информации для внутреннего использования необходимо соблюдение следующих принципов: целостности, доступности и конфиденциальности (при выходе ее за пределы компании).

К такой информации можно отнести, например, внутренние положения по видам деятельности, распоряжения управляющего состава и т. д. Следует отметить, что важной характеристикой информации для внутреннего использования является тот факт, что ее утрата не повлечет за собой остановку работы организации.

Конфиденциальная информация. Перечень сведений конфиденциального характера изложен в Указе Президента РФ от 6 марта 1997 г. № 188 и в общих чертах относит к таковым следующую информацию:

  • — персональные данные;
  • — тайну следствия и судопроизводства;
  • — служебную тайну;
  • — профессиональную тайну;
  • — коммерческую тайну.

Персональные данные — сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях (приказ Минфина России от 17 июня 2014 г. № 162 «Об утверждении Перечня сведений ограниченного доступа, не содержащих сведений, составляющих государственную тайну, (конфиденциального характера) Министерства финансов Российской Федерации и организаций, находящихся в его ведении»).

Персональные данные на всех работников компании обычно хранятся в отделе кадров. При этом компания несет ответственность перед работниками в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации [70].

Личная тайна — защищаемая физическим лицом информация личного характера, распространение которой может нанести моральный или материальный ущерб отдельному физическому лицу [5].

Тайна следствия — это запрет на разглашение данных предварительного расследования без разрешения на то следователя или дознавателя. Общее правило: данные предварительного расследования не подлежат разглашению [107].

Служебная тайна — служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами [70].

Коммерческая тайна — информация, не являющаяся государственными секретами, связанная с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение (передача, утечка) которой может нанести ущерб его интересам; сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [70].

Профессиональная тайна — сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами [70]. Сюда относятся: врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.

В 2015 г. к перечню конфиденциальной информации были добавлены сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве» (Указ Президента РФ от 13 июля 2015 г. № 357).

Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне») [50].

В целом в законодательстве и науке продолжается уточнение классификации конфиденциальной информации, до сих пор не все виды тайн имеют четкое определение в нормативных актах РФ, а также рекомендаций по отнесению информации к тому или иному виду тайны. Сложность и стоимость процесса защиты информации будет зависеть от того, к какому виду тайны она относится, от состава информации, от собственника и владельца информации.

Вопросы для самоконтроля

  • 1. Что такое «доступность информации»?
  • 2. Какую бы классификацию информации предложили вы?
  • 3. Есть ли смысл защиты открытой информации?
  • 4. Что такое «личная тайна»?
  • 5. Какую классификацию используют современные западные стандарты?
  • 6. В чем состоит отличие коммерческой тайны от профессиональной тайны?
  • 7. Почему целостность является важнейшим аспектом информационной безопасности?
  • 8. Какой аспект информационной безопасности в настоящее время имеет наибольшее значение для вас? Почему?

Задания

  • 1. Назовите составляющие информационной безопасности.
  • 2. Перечислите виды целостности информации.
  • 3. Выполните лабораторную работу «Работа с браузером», ответив на следующие вопросы:
  • 1) Как установить страницу, с которой будет происходить начальная загрузка?
  • 2) Как заблокировать рекламу, отображаемую во всплывающих окнах?
  • 3) Как позволить отдельным ресурсам использование всплывающих окон?
  • 4) Как составить список сайтов, доступ к которым заблокирован?
  • 5) Как очистить кэш браузера? Для чего это нужно делать?
  • 6) Что такое файлы «cookie», для чего они нужны, в чем их опасность?
  • 7) Что такое «режим инкогнито» («приватный режим»)? Для чего он нужен? Как его включить?
  • 8) Что такое «плагин»? Для чего он нужен? Как установить и удалить плагин?
  • 9) Где хранятся пароли в вашем любимом браузере? Как получить к ним доступ?
  • 10) Настройте синхронизацию для вашего браузера. Что это такое? Для чего необходимо использовать синхронизацию?
  • 11) Настройте приоритетные поисковые системы в браузере.
  • 12) Поменяйте оформление браузера по вашему вкусу.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >